 |
|
You are here: Foswiki>IT Web>ItServices>ServicesFile (01 Oct 2024, IngmarUserTopic)Edit Attach
Fachbereich Mathematik und Informatik, IT-Dienst
- Dateiserver für den Fachbereich
Dateiserver für den Fachbereich
IT-Dienst::ServicesFile - Zusammenfassung
Tabelle der Dienste, Server, Zugangspunkte und Quoten …| Dienst | Zugriffspunkt Linux | Zugriffspunkt Windows/Mac | Volume-Größe | Quota  |
Backup |
|---|---|---|---|---|---|
| home | /home/mi/<username> | \\mi-home.imp.fu-berlin.de\<username> | 24TB | 8GB/10GB | daily, ZEDAT |
| storage | /storage/mi/<username> | \\mi-storage.imp.fu-berlin.de\<username> | 140TB | 25GB/50GB | weekly, ZEDAT |
| group | /group/<groupname> | \\trove.storage.fu-berlin.de\mi_<groupname> | 2PB shared + individuelle Größen | 25GB/50GB | daily, ZEDAT |
| buffer | /buffer/<groupname>/<orga_structure> | \\mi-buffer.imp.fu-berlin.de\<groupname>\<orga_structure> | 60TB | individuell |  no backup |
| web | /web/<webserver> | \\web.imp.fu-berlin.de\<webserver> | 2TB | individuell | daily, ZEDAT |
| bigdata | /bigdata/<groupname> | \\bigdata.imp.fu-berlin.de\<groupname> | 5PB | individuell | daily, ZIB |
| windows | kein Automount, smb/cifs mount, siehe unten. | \\akte.imp.fu-berlin.de\<sharename> | 10TB | individuell | daily, ZEDAT |
| campus (ZEDAT) | kein Automount, smb/cifs mount, siehe unten. | \\campus.fu-berlin.de\Daten\<sharename> | ? | individuell | daily, ZEDAT |
IT-Dienst::ServicesFile - Konzept
Für die Ablage von Daten/Dateien stehen den Mitarbeitenden und Studierenden des Fachbereichs diverse Optionen zur Verfügung. Wichtige Kernpunkte der Dateiablage sind gemäß der IT-Sicherheitsrichtlinie die Verfügbarkeit und Integrität der gespeicherten Daten. Daher sind Daten bevorzugt auf zentralen Systemen zu speichern und zu nutzen. Arbeitsgruppen, die über diesen Service hinausgehende Anforderungen haben (höherer Platzbedarf, umfangreichere oder länger aufzubewahrende Datensicherung usw.), können sich bei der IT-Abteilung über die Möglichkeit der Umsetzung und die entstehenden Kosten informieren und erhalten einen bedarfsgerecht eingerichteten Dateidienst bereitgestellt.IT-Dienst::ServicesFile - IT-Richtlinie
| Ident | Inhalt | Implementierung |
|---|---|---|
| M21 | Der unbefugte Zugang zu Geräten und die Benutzung der IT muss verhindert werden. [...] | |
| Zutritt zum Serverraum ist auf wenige Personen beschränkt (IT-Dienst, ZEDV des FB Physik, einige ZEDAT-Mitarbeiter, Hausmeister, Handwerker nur wenn und solange notwendig). Kein unbeaufsichtigter Zutritt für Reinigungspersonal | ||
| M26, M27 | Alle wichtigen IT-Systeme dürfen nur an eine ausreichend dimensionierte und gegen Überspannungen abgesicherte Stromversorgung angeschlossen werden. Alle IT-Systeme, die wichtige oder unverzichtbare Beiträge zur Aufrechterhaltung eines geordneten Betriebes leisten, sind an eine unterbrechungsfreie Stromversorgung (USV) zur Überbrückung von Spannungsschwankungen anzuschließen. | |
| Der FB implementiert ein komplexes Stromversorgungssystem aus USVs (Netzersatzanlagen) mit Batteriepufferung, redundanten Stromkreisen, Überspannungsschutz u.v.m. Diese Systeme werden regelmäßig durch Fachfirmen gewartet. Im Störfall kann die Infrastruktur bis zu 15 Minuten gestützt werden. Ein softwaregestütztes Abschaltsystem bringt die angeschlossenen Server rechtzeitig in einen lastfreien Zustand. | ||
| M28 | Die Regeln des vorbeugenden Brandschutzes sind zu beachten und einzuhalten. Insbesondere gilt dies für Räume mit wichtiger Informationstechnik, wie beispielsweise Serverräume. … | |
| Keine Brandlasten oder Lagerflächen im Serverraum (z.B. Kartons), Brand- und Rauchmelder angeschaltet an die zentrale Brandmeldeanlage. Separate Brandlöschanlage | ||
| M29 | IT-Systeme, die wichtige oder unverzichtbare Komponenten zur Aufrechterhaltung eines geordneten Betriebes darstellen, sind nicht in direkter Nähe zu oder unter wasserführenden Leitungen aufzustellen. … | |
| Nur Kühlmittelleitungen im Serverraum, Ständerboden mit einer Wasserkapazität von 50 qm, Wasser- und Lecksensoren, Bodenabläufe | ||
| M30 | Der Einbau von Klimatisierungsanlagen wird erforderlich, wenn der Luft- und Wärmeaustausch von Server- und Rechnerräumen unzureichend ist bzw. hohe Anforderungen an die Be- und Entfeuchtung eines Raums und an die Schwebstoffbelastung gestellt werden. … | |
| Redundantes Kühlsystem mit 280KW maximler Kühlleistung in der Aufteilung [KW] (70,70,35,35,35,35), Kaltgang-Einhausung, Luftfilter, Leitwartenanschluss, unabhängiges Termperatursensorsystem mit Monitoring am FB | ||
| M25, M9 | Fremde Personen, die in gesicherten Räumen mit IT (z. B. Serverräume) Arbeiten auszuführen haben, müssen beaufsichtigt werden. Personen, die nicht unmittelbar zum IT-Bereich zu zählen sind, aber Zugang zu gesicherten IT-Räumen benötigen, müssen über die Notwendigkeit besonderer Vorsicht beim Arbeiten in gesicherten Räumen belehrt werden. Beispielsweise müssen sie darauf hingewiesen werden, dass Stecker nicht einfach aus Steckdosen herausgezogen werden dürfen. | |
| Wartung durch Externe nur an der Hardware und damit nur vor Ort (keine Fernwartung), Einweisung und Begleitung/Beaufsichtigung von Handwerkern/Dienstleistern, die Arbeiten im Serverraum durchführen, durch Mitarbeiter des IT-Dienstes, Serverraum ist von der beauftragten Raumreinigung im Gebäude ausgenommen | ||
| M37 | Sicherheitsrelevante Updates und Patches müssen, soweit möglich, zeitnah eingepflegt werden. Ausnahmen müssen dokumentiert werden. | |
| zenrale Softwareverteilung und Patchmanagement, monatliche Wartungsintervalle, nur unter Support stehende Betriebssysteme, Personalvertretungsregelungen | ||
| M41 | Maßnahmen zur Ausfallsicherheit sind entsprechend der jeweiligen Anforderung an die Verfügbarkeit zu ergreifen. IT-Systeme, die zur Aufrechterhaltung eines geordneten Betriebs notwendig sind, müssen durch Ausweichlösungen (redundante Geräteauslegung oder Übernahme durch gleichartige Geräte mit leicht verminderter Leistung) oder Wartungsverträge mit entsprechenden Reaktionszeiten hinreichend verfügbar gehalten werden. | |
| 3-5 Jahre Herstellergarantie mit Reparatur vor Ort, redundante Netzteile, Parallelbetrieb alles Softwareinfrastruktursysteme wie DNS, LDAP, jounaled file systems. Trennung von Storage und CPU im SAN uvm. | ||
| M55 | Die IT-Dienstleister der Freien Universität Berlin sind verpflichtet, ein geeignetes System zur zentralen Identity- und Passwortverwaltung bereit zu stellen. Zur Authentifizierung und Autorisierung müssen alle zugangskontrollierten Systeme das zentral angebotene Identity- und Passwort-Managementsystem nutzen, soweit dies technisch umsetzbar und organisatorisch sinnvoll ist. | |
| Anbindung der Server an und Zugriff von ihnen auf die von FUDIS zentral bereitgestellten FU-Identitätsdaten für Authentisierung und Autorisierung (Umstellung von Fachbereichs- auf FU-Accounts wurde 2009 vollzogen); Windows: Anbindung ans Active Directory der FU Berlin | ||
| M61 | Je nach den Möglichkeiten des Betriebssystems sind alle Zugangsversuche, sowohl die erfolgreichen als auch die erfolglosen, automatisch zu protokollieren. Das Ändern wichtiger Systemparameter und auch das Herunterfahren bzw. das Hochfahren des Systems sollten ebenfalls protokolliert werden. | |
| Logins (sowohl erfolgreiche als auch erfolglose Versuche), Shutdowns und Reboots werden automatisch sowohl auf dem jeweiligen Server als auch in Kopie auf einem zentralen Log-Host protokolliert. Zugriff auf diese Systemprotokolle haben nur die Mitarbeiter des IT-Dienstes. Das Abschalten/der Ausfall zentraler Server und Dienste wird von Monitoring-Werkzeugen (Nagios/Icinga) detektiert und die jeweils dafür konfigurierte Alarmierung veranlasst, daher erfolgt die Auswertung der Protokolle nur anlassbezogen (d.h. bei der Fehlersuche oder bei Sicherheitsvorfällen) | ||
| M63 | Es muss geregelt und sichergestellt sein, dass die Administration des lokalen Netzwerks nur von dem dafür vorgesehenen Personal durchgeführt wird. Aktive und passive Netzkomponenten sowie Server sind vor dem Zugriff Unbefugter zu schützen. [...] | |
| Netztrennung über Firewalls in Management-Netz, Server-Netz, Netz für Mitarbeiter des IT-Dienstes, Wartungszugriff auf Server und Netzkomponenten nur aus den dafür vorgesehenen Sub-Netzen, Netzwerkmanagement am FB MI durch eine Teilmenge der Mitarbeiter des IT-Dienstes in Abstimmung mit der AG Netze der ZEDAT | ||
| M68, M70 | Datensicherung, Konsistenzsicherung der Backups | |
| Beschreibung der Datensicherung auf unserer öff. Wiki-Seite: ItServices#Backup_und_Archiv, Beschreibung der Standard-Datensicherung durch die ZEDAT unter http://www.zedat.fu-berlin.de/Backup/Backup-Details, Sicherungsintervalle und Art siehe entsprecher Absatz im Dokument, Überwachung der Backupjobs durch E-Mailsignalisierung, Monitoring, Restorestichproben und reale Restores nach Benutzeranfragen. Ein Komplett-Restore wird aufgrund der Größe/Dauer nicht regelmäßig getestet, wurde aber anlässlich der Dateiserver-Umbauten Anfang September 2013 für einen der - damals noch mehreren - Homeserver durchgeführt (Dauer: ca. 30 Stunden) | ||
| M72 | Die Sicherungsdatenträger sind getrennt vom jeweiligen Rechner aufzubewahren. | |
| Backupstandort ist in der ZEDAT, Pflege und Konsistenzerhalt der Daten erfolgt durch Spezialisten in der ZEDAT. | ||
IT-Dienst::ServicesFile - Dateiablage-Kategorien
Wir unterscheiden mehrere konzeptionell unterschiedliche Dateiablage-Kategorien:- Der eigentliche Heimatbereich und somit persönliche Dateiablagebereich: Hier werden Konfigurationsdaten der Unixprogramme (Mail, Browser …) und Dokumente (Textdateien, Dissertation, aktuelle Forschungsarbeiten …) gespeichert. Die Änderungsrate ist mittel bis hoch und die Daten werden täglich benötigt. Private Daten werden geduldet, sollen aber in einem eindeutig gekennzeichneten Unterbereich liegen, wie z.B.
/home/mi/<username>/private. - Der Storage-Bereich : Hier werden erweiterte persönliche Daten gespeichert, die den normalen Umfang des Heimatbereichs sprengen. Zum Beispiel liegen hier Berechnungsdaten, die mehrere Gigabytes umfassen, Laufzeitprotokolle von Berechnungen und/oder Logfiles eigener Programme. Auch finden sich hier Filme, die den Flug eines selbst entwickelten Roboters zeigen.
- Group-Bereich : Hier werden alle Arbeitsgruppen-relevanten Daten gespeichert. Das sind z.B. gemeinsame Forschungsprojekte, Dokumente einer Arbeitsgruppe, ein gemeinsam von Sekretariat und AG-Leitung genutzer Bereich usw. Hier können auch Massendaten von Genomsequenzierungen als Teile ihrer Abarbeitungsketten gespeichert werden. Dieser Bereich wird auf Anforderung der Arbeitsgruppen-Leitung oder einer Projektleiterin angelegt und vom IT-Dienst konfiguriert. Hier sind auch auf Gruppenebene individuelle Absprachen in Bezug auf Quota oder Dateisystemgröße möglich.
- Puffer-Bereich : Hier handelt es sich um einen den Arbeitsgruppen zugeordneten Speicherbereich, der - anders als der Gruppenbereich - grundsätzlich nicht gesichert wird. Daten, die hier liegen, sollten daher wenigstens an einem weiteren Ort existieren. Bevorzugt werden hier Backups von Laptops oder anderen Mobilgeräten gesichert, die sonst im Falle eines Datenverlustes nicht einfach zu rekonstruieren wären. Beispiele:
- Backupbereich für Steuerungsrechner der Spirit of Berlin (Fahrzeugsteuerung)
- bigdata-Bereich (bisher nur für einzelne AGs auf Anfrage): Hier handelt es sich um einen den Arbeitsgruppen zugeordneten Speicherbereich für besonders große Datenmengen (100+ TB). Er wird auf einem Speichersystem im ZIB bereitgestellt.
- Web-Bereich :
siehe auch - Windows-Dateiserver : Der Bereich Windows Dateiserver stellt einen unter Windows betriebenen gemeinsamen Dateiserver für persönliche Heimatbereiche und Gruppenablagen bereit. Die Systeme werden ausschließlich individuell eingerichtet und sind somit in allen Kategorien individuell zugeschnitten.
IT-Dienst::ServicesFile - Zugriff auf Dateibereiche
Auf zentral verwalteten Linux-Rechnern des Fachbereichs können Sie direkt per NFS auf die Dateibereiche zugreifen. Den konkreten Zugriffspunkt finden Sie in der Tabelle oben auf dieser Seite. Der Zugriff über Windows, Linux, Apple/MAC oder generell über das CIF/CIFS2-Protokoll ist aus dem gesamten Campus-Netz der FU Berlin möglich. Dies schließt auch den Zugriff aus dem VPN der ZEDAT und aus dem EDUROAM der FU ein.IT-Dienst::ServicesFile - Zugriff auf Dateibereiche - SMB/CIFS
Authentifizierung mit FU-accountname und Passwort| Betriebssystem | Pfad bzw. Kommando |
|---|---|
| Linux | nautilus/'Mit Server verbinden'smb://FU-BERLIN;accountname@mi-home.imp.fu-berlin.de/accountname |
| Mac OS X | im Finder: Menüpunkt 'Gehe zu' → 'Mit Server verbinden'smb://FU-BERLIN;accountname@mi-home.imp.fu-berlin.de/accountname |
| Windows | \\mi-home.imp.fu-berlin.de\accountname |
| Windows Benutzername | FU-BERLIN\accountname |
hier
Falls Sie nicht auf den Home-Bereich zugreifen wollen sondern auf einen der Bereiche storage, group, buffer oder web , dann ersetzen Sie bitte mi-home.imp.fu-berlin.de in den obigen Aufrufen entsprechend der folgenden Tabelle:
| Dienst: | Server |
| home | mi-home.imp.fu-berlin.de |
| storage | mi-storage.imp.fu-berlin.de |
| group | trove.storage.fu-berlin.de |
| buffer | mi-buffer.imp.fu-berlin.de |
| web | web.imp.fu-berlin.de |
| bigdata | bigdata.imp.fu-berlin.de |
| windows | akte.imp.fu-berlin.de |
| windows-campus | campus.fu-berlin.de |
IT-Dienst::ServicesFile - Zugriffsberechtigungen der Dateibereiche
Die Standard-Zugriffsberechtigungen, mit denen Nutzer-Heimatverzeichnisse angelegt werden, und die Gründe dafür sind auf einer separaten Wiki-Seite beschrieben.IT-Dienst::ServicesFile - Quota/Speicherplatzbeschränkung
Der Speicherplatz pro Bereich, Dienst oder User ist generell limitiert. Dies geschieht, um den zur Verfügung stehenden Speicherplatz möglichst fair auf alle Benutzer zu verteilen. Gleichzeitig verhindert eine Speicherplatzbegrenzung aber auch, dass Prozesse ohne Wissen eines Benutzers beliebig viele Daten schreiben können (und damit den ganzen Server lahmlegen würden).
Sollte der bereitgestellte Speicherplatz nicht ausreichen, so wenden Sie sich bitte mit Begründung an den IT-Support. Studierende lassen ihren Speicherplatz bitte über ihre Dozentin oder ihren Dozenten erhöhen.
IT-Dienst::ServicesFile - Datensicherung
Die Datensicherung erfolgt direkt durch die ZEDAT über den zentralen Backupservice der FU Berlin. Dienste wiestorage oder der Clusterbereich werden direkt vom IT-Dienst auf interne Pufferspeicher synchronisiert.
Soll ein Ordner aus der Sicherung ausgenommen werden, so kann man dies trotz Speicherung auf einem Bereich mit regelmäßiger Sicherung tun, indem man einen Ordner NO_BACKUP anlegt und dort die nicht zu sichernden Daten ablegt ( Gilt nicht für den bigdata -Bereich!).
Keine automatische Archivierung
Es findet keine automatische Archivierung von Daten in Heimatbereichen statt! Die Archivierung dienstlicher Daten kann bei der IT-Abteilung angefordert werden. Alternativ muss diese selbst vorgenommen werden. Mehr zur Archivierung erfahren Sie hier.Sonderverzeichnisse im HOME
Folgende Verzeichnisse haben nur im $HOME oder %HOME% -Verzeichnis eine besondere Bedeutung:| Name | Anlegen | Funktion |
|---|---|---|
| nextcloud-shared | User | Das Verzeichnis ist im eigenen Nextcloud eingebunden: https://nextcloud.imp.fu-berlin.de/index.php/apps/files/?dir=/mi-home |
| NO_BACKUP | User | Dateien werden nicht ins Backup aufgenommen. Für Daten die man jederzeit wiederbeschaffen kann |
| Recycle.Bin | automatisch | Gelöschte Dateien landen zuerst in diesem Mülleimer |
| Scan | automatisch | Zielverzeichnis für FollowMe Scan to Home aka Scan an H: Gruppe svc-equitrac |
IT-Dienst::ServicesFile - FAQ
- F1: Wo finde ich jetzt was?
A: Alle homes liegen nun auf einem Server:mi-home.imp.fu-berlin.de. Sehen Sie sich bitte auf dieser Seite den Absatz Services - Zusammenfassung an - F2: Wo ist mein
RAIDgeblieben?
A: Unter /storage/mi/<username> Sie könnne sich diesen Links selbst wieder anlegen mitln -s /storage/mi/$USER /home/mi/$USER/storage
. - F3: Ist es wirklich so, dass die neuen Speicherbereiche "home", "storage" und "buffer" von allen Rechnern aus sichtbar sind? Auch vom Cluster "Allegro" aus? Und ersetzt das die lokalen Platten, die wir vorher dort benutzt haben, oder ist das ein zusätzliches Angebot?
A: Der Cluster- Kopf 'allegro' verhält sich wie jeder andere Arbeitsplatzrechner, d.h. die o.g. Speicherbereiche sind von dort aus sicht- und ansprechbar. Von den Knoten des allegro-Clusters aus sind die Speicherbereiche nicht ansprechbar. - F4: Kann man keine ACLs ( access control lists ) mehr im Heimatverzeichnis einrichten? Das ist sicher nicht beabsichtigt, oder?
A: Doch doch, das geht weiterhin! Nur das Tool zum Setzen/Auslesen der ACLs ist jetzt ein anderes: Stattsetfacl/getfaclmuss jetztnfs4_setfaclbzw.nfs4_getfaclverwendet werden, da die Netzlaufwerke seit der Umstellung mit NFS Version 4 gemountet werden und diese Version ein neues ACL-Modell mit sich bringt (sieheman nfs4_acl). - F5: Ich habe in den letzten Tagen mehrere Mails mit dem Hinweis erhalten, dass mein Home-Verzeichnis zu voll ist. Dabei habe ich dort schon nach Kräften aufgeräumt (gelöscht), es wird aber immer noch derselbe von mir belegte Platz angezeigt wie vorher. Woran liegt das? Wie lösche ich wirksam, so dass wieder Platz frei wird?
A: Es gibt auf dem Homeserver analog zum "Papierkorb" auf der Schreibtisch-Oberfläche gängiger Betriebssysteme einen ausgezeichneten Ordner "Recycle.Bin" in vielen Heimatverzeichnis. Der wird vom Samba-Server auf dem betreffenden Dateiserver automatisch dort angelegt, wenn über das smb-Protokoll auf das Heimatverzeichnis zugegriffen wird und dort Dateien oder Verzeichnisse gelöscht werden. In diesem "Papierkorb" landen dann (wie bei der Schreibtisch-Metapher auf dem Desktop) die vom jeweiligen Nutzer/der jeweiligen Nutzerin gelöschten Dateien (und belegen erst einmal weiterhin Platz auf dem Server). Dieser Platz auf dem Server wird erst dann wirklich freigegeben, wenn die Dateien, die schon in diesem "Papierkorb" liegen, endgültig gelöscht werden (wenn also der Papierkorb sozusagen "ausgeleert" wird, um in dem entsprechenden Bild zu bleiben). Dieses "Ausleeren" geschieht nicht automatisch, sondern es muss selbstständig durch Löschen der Dateien im Ordner Recycle.Bin vorgenommen werden (via Kommandozeile geht das z.B. mitrm -r ~/Recycle.Bin/).
Edit | Attach | Print version | History: r53 < r52 < r51 < r50 | Backlinks | View wiki text | Edit wiki text | More topic actions
Topic revision: r53 - 01 Oct 2024, IngmarUserTopic
- This page was cached on 20 Feb 2025 - 09:11.
Anleitungen
Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors. Ideas, requests, problems regarding Foswiki? Send feedback